ESET: 10 σημαντικά περιστατικά ασφαλείας της χρονιάς που πέρασε

Καθώς κλείνει η αυλαία μιας ακόμη περιπετειώδους χρονιάς στον τομέα της κυβερνοασφάλειας, ας δούμε μερικά από τα 10 μεγαλύτερα περιστατικά ασφαλείας του 2023 σύμφωνα με τον Phil Muncaster από την παγκόσμια εταιρία κυβερνοασφάλειας ESET. Ας αποκομίσουμε από αυτά τα περιστατικά μερικά πολύτιμα συμπεράσματα που θα μας οδηγήσουν σε ένα πιο ασφαλές 2024.

1. Εκλογική Επιτροπή του Ηνωμένου Βασιλείου

Η ανεξάρτητη Εκλογική Επιτροπή του Ηνωμένου Βασιλείου, που εποπτεύει τις εκλογικές διαδικασίες στη χώρα, αποκάλυψε τον Αύγουστο ότι φορείς απειλών είχαν κλέψει τις προσωπικές πληροφορίες περίπου 40 εκατομμύριων ψηφοφόρων που ήταν εγγεγραμμένοι στον εκλογικό κατάλογο. Η επιτροπή ισχυρίστηκε ότι υπεύθυνη ήταν μια “σύνθετη” κυβερνοεπίθεση, αλλά οι εκθέσεις έχουν αποκαλύψει ότι οι πολιτικές ασφαλείας ήταν ανεπαρκείς – ο οργανισμός απέτυχε σε βασικό έλεγχο ασφαλείας Cyber Essentials. Ένας μη ενημερωμένος διακομιστής Microsoft Exchange μπορεί να ευθύνεται, αν και δεν είναι σαφές το γιατί η επιτροπή χρειάστηκε 10 μήνες για να ενημερώσει το κοινό. Η επιτροπή ισχυρίστηκε επίσης ότι οι φορείς απειλών ενδέχεται να εξερευνούσαν το δίκτυό της από τον Αύγουστο του 2021.

2. Αστυνομική Υπηρεσία της Βόρειας Ιρλανδίας (PSNI)

Πρόκειται για ένα περιστατικό που εμπίπτει στην κατηγορία της παραβίασης από εσωτερικούς χρήστες με σχετικά μικρό αριθμό θυμάτων που όμως ενδέχεται να υποστούν υπέρμετρες συνέπειες. Η PSNI ανακοίνωσε τον Αύγουστο ότι ένας υπάλληλος δημοσίευσε κατά λάθος ευαίσθητα εσωτερικά δεδομένα στην ιστοσελίδα WhatDoTheyKnow ως απάντηση σε αίτημα με βάση τον νόμο περί ελεύθερης πληροφόρησης (Freedom of Information). Οι πληροφορίες περιλάμβαναν τα ονόματα, το βαθμό και την υπηρεσία περίπου 10.000 αξιωματικών και πολιτικού προσωπικού, συμπεριλαμβανομένων όσων εργάζονται σε υπηρεσίες παρακολούθησης και πληροφοριών. Αν και οι πληροφορίες ήταν διαθέσιμες μόνο για δύο ώρες προτού κατέβουν, ο χρόνος αυτός ήταν αρκετός για να κυκλοφορήσουν μεταξύ των Ιρλανδών αντιφρονούντων, οι οποίοι τις διέδωσαν περαιτέρω. Δύο άνδρες αφέθηκαν ελεύθεροι με εγγύηση μετά τη σύλληψή τους ως κατηγορούμενοι για τρομοκρατία.

3. Ινδικό Συμβούλιο Ιατρικής Έρευνας (ICMR)

Άλλη μια τεράστια παραβίαση, αυτή τη φορά μια από τις μεγαλύτερες της Ινδίας αποκαλύφθηκε τον Οκτώβριο, αφού ένας δράστης έθεσε προς πώληση προσωπικές πληροφορίες 815 εκατομμύριων κατοίκων. Φαίνεται ότι τα δεδομένα είχαν διαρρεύσει από τη βάση δεδομένων COVID-testing του ICMR και περιλάμβαναν όνομα, ηλικία, φύλο, διεύθυνση, αριθμό διαβατηρίου και αριθμό Aadhaar. Αυτό είναι ιδιαίτερα επικίνδυνο και θα μπορούσε να δώσει στους κυβερνοεγκληματίες όλα όσα χρειάζονται για να επιχειρήσουν μια σειρά από επιθέσεις απάτης ταυτότητας. Ο αριθμός Aadhaar μπορεί να χρησιμοποιηθεί στην Ινδία ως ψηφιακή ταυτότητα, για πληρωμές λογαριασμών και ελέγχους.

4. DarkBeam

Στη μεγαλύτερη παραβίαση δεδομένων της χρονιάς, 3,8 δισεκατομμύρια εγγραφές εκτέθηκαν από την πλατφόρμα ψηφιακού κινδύνου DarkBeam, μετά από λανθασμένη παραμετροποίηση μιας διεπαφής απεικόνισης δεδομένων Elasticsearch και Kibana. Ένας ερευνητής ασφαλείας παρατήρησε το λάθος και ειδοποίησε την εταιρεία, η οποία διόρθωσε το πρόβλημα γρήγορα. Ωστόσο, δεν είναι σαφές για πόσο καιρό τα δεδομένα ήταν εκτεθειμένα ή αν κάποιος είχε πρόσβαση σε αυτά στο παρελθόν με κακόβουλη πρόθεση. Η λεία περιείχε μηνύματα ηλεκτρονικού ταχυδρομείου και κωδικούς πρόσβασης τόσο από παραβιάσεις δεδομένων που είχαν αναφερθεί προηγουμένως όσο και από παραβιάσεις που δεν είχαν αναφερθεί. Πρόκειται για ένα ακόμη παράδειγμα της ανάγκης στενής και συνεχούς παρακολούθησης των συστημάτων για λανθασμένες ρυθμίσεις.

5. MOVEit

Αυτή η επίθεση, που σχετίζεται με την ομάδα κυβερνοεγκλήματος Lace Tempest (Storm0950), είχε όλα τα χαρακτηριστικά των προηγούμενων εκστρατειών της ομάδας κατά των Accellion FTA (2020) και GoAnywhere MFT (2023). Ο τρόπος δράσης της ομάδας είναι απλός: Εκμετάλλευση μιας ευπάθειας μηδενικής ημέρας σε ένα δημοφιλές προϊόν λογισμικού ώστε να αποκτήσει πρόσβαση σε περιβάλλοντα πελατών και, στη συνέχεια, κρυπτογράφηση όσο το δυνατόν περισσότερων δεδομένων για να ζητήσει λύτρα. Δεν είναι ακόμη σαφές πόσα ακριβώς δεδομένα έχουν κλαπεί και πόσα θύματα υπάρχουν. Ωστόσο, ορισμένες εκτιμήσεις κάνουν λόγο για περισσότερους από 2.600 οργανισμούς και πάνω από 83 εκατομμύρια άτομα. Το γεγονός ότι πολλοί από αυτούς τους οργανισμούς ήταν οι ίδιοι προμηθευτές ή πάροχοι υπηρεσιών έχει απλώς αυξήσει τον αντίκτυπο στα επόμενα στάδια. Η Progress Software, η εταιρεία που βρίσκεται πίσω από το λογισμικό MOVEit, δημοσίευσε λεπτομέρειες σχετικά με το κρίσιμο κενό ασφαλείας και κυκλοφόρησε ένα διορθωτικό για αυτό στις 31 Μαΐου 2023, προτρέποντας τους πελάτες να το εγκαταστήσουν αμέσως ή να λάβουν μέτρα μετριασμού.

6. 23andMe

Ένας δράστης ισχυρίστηκε ότι έκλεψε έως και 20 εκατομμύρια στοιχεία δεδομένων από την εταιρεία γενετικής και έρευνας με έδρα τις ΗΠΑ. Φαίνεται ότι οι κυβερνοεγκληματίες πρώτα χρησιμοποίησαν κλασικές τεχνικές credential stuffing για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών – χρησιμοποιώντας προηγουμένως παραβιασμένα διαπιστευτήρια που οι χρήστες είχαν χρησιμοποιήσει ξανά στην εταιρία 23andMe. Για τους χρήστες που είχαν επιλέξει την υπηρεσία DNA Relatives, ο δράστης της απειλής ήταν σε θέση να αποκτήσει πρόσβαση και να αποσπάσει πολλά περισσότερα δεδομένα από πιθανούς συγγενείς. Μεταξύ των πληροφοριών που διέρρευσαν ήταν η φωτογραφία προφίλ, το φύλο, το έτος γέννησης, η διεύθυνση και τα αποτελέσματα γενετικών τεστ.

7. Επιθέσεις Rapid Reset DDoS

Άλλη μια ασυνήθιστη περίπτωση αφορά μια ευπάθεια μηδενικής ημέρας στο πρωτόκολλο HTTP/2 που αποκαλύφθηκε τον Οκτώβριο και η οποία επέτρεψε στους φορείς απειλών να εξαπολύσουν μερικές από τις μεγαλύτερες επιθέσεις DDoS που έχουν σημειωθεί ποτέ. Η Google ανέφερε ότι αυτές κορυφώθηκαν σε 398 εκατομμυρίων αιτήσεων ανά δευτερόλεπτο (rps), έναντι του προηγούμενου ρεκόρ των 46 εκατομμυρίων rps. Τα καλά νέα είναι ότι γίγαντες του διαδικτύου όπως η Google και η Cloudflare έχουν επιδιορθώσει το σφάλμα, αλλά οι επιχειρήσεις που διαχειρίζονται τη δική τους παρουσία στο διαδίκτυο κλήθηκαν να ακολουθήσουν άμεσα το παράδειγμά τους.

8. T–Mobile

Η αμερικανική εταιρεία τηλεπικοινωνιών έχει υποστεί πολλές παραβιάσεις ασφαλείας τα τελευταία χρόνια, αλλά αυτή που ανακοίνωσε τον Ιανουάριο είναι μία από τις μεγαλύτερες μέχρι σήμερα. Επηρέασε 37 εκατομμύρια πελάτες, ενώ κλάπηκαν διευθύνσεις πελατών, αριθμοί τηλεφώνων και ημερομηνίες γέννησης. Ένα δεύτερο περιστατικό που αποκαλύφθηκε τον Απρίλιο επηρέασε μόλις 800 πελάτες, αλλά περιλάμβανε πολύ περισσότερα στοιχεία, συμπεριλαμβανομένων των προσωπικών αριθμών αναγνώρισης (PIN) της T-Mobile, αριθμών κοινωνικής ασφάλισης, στοιχείων ταυτότητας, ημερομηνίες γέννησης και εσωτερικούς κωδικούς που χρησιμοποιεί η εταιρεία για την εξυπηρέτηση λογαριασμών πελατών.

9. MGM International/Cesars

Δύο από τα μεγαλύτερα καζίνο του Λας Βέγκας χτυπήθηκαν μέσα σε λίγες ημέρες από την ομάδα ransomware Scattered Spider που σχετίζεται με την ομάδα κυβερνοεγκλήματος ALPHV/BlackCat. Στην περίπτωση της MGM κατάφεραν να αποκτήσουν πρόσβαση στο δίκτυο μέσω έρευνας στο LinkedIn και στη συνέχεια μέσω επίθεσης vishing, αφού υποδύθηκαν τους αντιπροσώπους του τμήματος πληροφορικής της εταιρείας και ζήτησαν τα διαπιστευτήριά των θυμάτων. Η παραβίαση είχε σημαντικό οικονομικό κόστος για την εταιρεία. Αναγκάστηκε να διακόψει τη λειτουργία σημαντικών συστημάτων πληροφορικής, γεγονός που διέκοψε τη λειτουργία των μηχανών τυχερών παιγνίων, των συστημάτων διαχείρισης εστιατορίων, ακόμη και των καρτών-κλειδιών των δωματίων για μέρες. Η εταιρεία υπολόγισε το κόστος σε 100 εκατ. δολάρια. Το κόστος για την Cesars δεν είναι σαφές, αν και η εταιρεία παραδέχτηκε ότι πλήρωσε στους εκβιαστές 15 εκατ. δολάρια.

10. Διαρροές εγγράφων του Πενταγώνου

Το τελευταίο περιστατικό αποτελεί μια διδακτική ιστορία για τον αμερικανικό στρατό και κάθε μεγάλο οργανισμό που ανησυχεί για κακόβουλους εσωτερικούς χρήστες. Ο Jack Teixeira, ένας 21χρονος, μέλος της πτέρυγας πληροφοριών της Εθνοφρουράς της Μασαχουσέτης, διέρρευσε άκρως ευαίσθητα στρατιωτικά έγγραφα στο Discord. Αυτά στη συνέχεια κοινοποιήθηκαν σε άλλες πλατφόρμες και αναδημοσιεύτηκαν από Ρώσους που παρακολουθούν τον πόλεμο στην Ουκρανία. Τα έγραφα έδωσαν στη Ρωσία έναν θησαυρό στρατιωτικών πληροφοριών για τον πόλεμό στην Ουκρανία και υπονόμευσαν τη σχέση της Αμερικής με τους συμμάχους της. Είναι απίστευτο ότι ο Teixeira μπόρεσε να εκτυπώσει και να μεταφέρει στο σπίτι του άκρως απόρρητα έγγραφα για να τα φωτογραφίσει και στη συνέχεια να τα ανεβάσει στο Discord.